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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

© Verfahren zum Online-Update sicnerheitskntischer Software in der Eisenbahh-Signaltechnik ; 

©• Die vorliegqnde Erfindung beschreibt ein verfahren 
zum Online-Update sicherheitskritischer Software in der 
^Eisenbahn-Signaltechnik. und dient insbesondere dem 
Einbringen von Produktsoftware in Zielrechner von Anla- 
gen. Das erfindungsgenriafce Verfahren basiert darauf, 
da& jeder Teilnehmer einen offentlicheh und einen gehei- 
men Schlussel enthalt,. von den Teilnehmern eine Zertifi- 
zierungsinstanz zur Beglaubigung der Zugehorigkeit der 
Schlussel zu: den Teilnehmern mit einem Zertifikat be- 
stimmt wird, jeder Teilnehmer sein eigenes Schlusselzer- 
tifikat und das Zertifikat der Zertifizierungsinstanz erhalt, 
jeder an der Erstellung und Prufung der Produktsoftware 
beteiligte Teilnehmer die Produktsoftware und die bishe- 
rigen Unterschriften mit seinem geheimen Schlussel un- 
terschreibt und gemeinsam mit seinem eigenen Schlus- 
sel zertifikat weiterleitet, die Zertifizierungsinstanz fur je- 
den Anwehdungsfall eine Pruferliste erzeugt und signiert 
und die Produktsoftware zusammen mit einer verketteten 
' Unterschriften I iste und der Liste der Schlusselzertifikate 
der Teilnehmer sowie der Pruferliste in den Zielrechner 
eirigebracht und endgepruft wird. 
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. Beschreibung ■< - AV\,*' 

^ Die vqrliegende Erfindung betrifft ein Verfahren zum Online-Update sicherrieitskridscher Software in der Eisenbahn- : " . " */ : . [ " 
Signaltechnik und dient insbesondere dem Einbringen von Produktsoftware in Zielrechner von Anlageri. ~* .\ iM c J z iy 

5 Neue Echtzeit-Betriebssysteme bieten weitreichende Debugging- oder Software-Upgrade-Optionen* wahrend das ei- : 

gentliche .System iauft (sog. running target), urn eine hohe Verfugbarkeit zu garantieren (sog. non-stop real-time sy- ■ - /.'.'?'\f: 
stems). ImPrinzipsinddieseWartungsarbeiten auch online, z. B. uber das Internet oder ahnliche off ene Netzwerke mog- \h >: 
lich, ohne daB ein Techniker vor Ort ist Dies ist vor allem in hochgradig verteilten Systemen ein enormer/VorteiL } p' 

Diese Vorteile moderner Echtzeit-Betriebssysteme und Computer-Netze sind bislang fur sicherheitskritische Anwen- ; 
io dungen in der Eisenbahn-Signaitechnik nicht nutzbar, da nicht garantiert .werden kann. dafi die eingebrachte Prpdukt- ' 

Software authentisch ist, d. h. von dem behaupteten Absender stammt und nicht manipuliert wurde und die Prbdukt-Soft- : *. " - 

ware nach den geitenden Vorschriften gepriift ist. . . : 

Unter dem OberbegrifT Produktsoftware wird hier. sowohl SystemSoft ware als auch An went icrsoft ware oder Anlagen- ■': ' : V 
Projektierungsdaten verstanden. . \ *- '*-' . > a . . 

. 15 Bekanrit ist, die Produkt-Software nach Vorliegen (ma'nuell unterschriebener) Prulbcriciuo uhcr vorab in der Fertigung. A .... 
programmierte Speicherbaugruppen von Hand in. das sicherheitskritische System ein'/.Librinjzen Dieser ProzeB soil mil- >V 
tels der beschriebenen Erfindung digitalisien werden, d. h. die Prbdukt -Software wird von den Pru fern digital signi'ert . ./ 
und uber ein offenes Netz in das sicherheitskritische System eingebracru. Der /ielrechner pruli die Signaturen automa-' ; : 

tisch auf Echtheit und Zulassigkeit. 
20 Weiterhin sind aus der EPO 816 970 A2 ein Verfahren und eine Vorrichtung bekarihu mil welchen die Authentizitat . , : ' 

* von Firmware gepriift werden kann. Es wind gepriift, ob speziflsche Signaturen zu Mikrokodierungen passen. Nachteilig 
. bei cUeser Losung ist, daB der offentHche Schlussei in der Arilage f^^ 
/ rechtigungen erfolgt./ ' . ;. / ' ' * ' '-' ■ : - 

; Um die Authentizitat bei . tibertragung von Daten uber offene Netze zu gewahrieisten, ; ist seit langerem die ; Verweri- '~)Js-' 
25 dung von kryptog^aphischeh Methoden bekannt Hiertiei ist sowohl eine symmetrische als auch eine asynmietrische \fer- ; * • " • v 
. schliisselung moglich/ f - ; • ■fV : -. ; * : '"■ ... • : • - - • ' -V.-:"'*^ *' 

, Bei der asymmetrischen VerschiQsselung existiert im Gegensatz zur sy mmeuischen Verschiiisselung nicht nur ein ein- / 
zelner Schliissel, der alien Partnem bekannt ist, sondern ein Schlusselpaar. Dieses Schlusselpaar besteht aus einem soge- - 
nannten offentlichen und einem privaten.Schliissel, wobei der offenthche ScWussel fur jedem ; . ' 

30 Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Online-Update sicherheitskritischer Software in der Ei- 
- senbahn-Signaltechnik zu schaffen, welches mit einfachen Mitteln ein effektives Zusammenwirken mehrerer Teilnehmer \ ' 
. - V bei der Erarbeitun^ und Pruning von Produktsoftware sowie ein sicheres Einbringen dieser Produktsoftware in die Ziel- 
rechner auch iiber ungesicherte Kommunikationskanale ermoglicht. ' . : > ■ : . - , . v ' • ; ^; ysS'^^l: 

'. . Diese ^ufgabe wird erfindungsgemaB gelost durch die; Merkmale im. kennzeichnehcien leil des Arispruches IMm^ZuriX --v" % f 
. 35 ! sammenwirken mit den Merkmalen im Oberbegriff/Zweckma^ige Ausgestaltungen derErfindun 

spruchen enthalten. ; j ^ r r - w . \ _ '> _ , 

"': Ein .besondereriVorteil der Erfindung besteht- darin^daB.em^ 

Produktsoftware in eirieri Zielrechner unter Mitwirkung mehrerer Teilnehmer erm6glichtTwird,,indem jeder Teilnehm 
einen offentlichen i,undeinen geheimen Schliissel erhalt, von deaTeilnehmem.eine'Zenifi 
40 gurig der Zugehorigkek der SchlussePzu den Teilnehmem mit e'inem Zcrtihkai bestimnii! w ."^f/.r-V"^ 

genes Schlusselzertifikat und das Zertifikatder .ZenifizierungsinsLanz erhalt, getier ' an der lirsteilung und Prii'tung der Pr^S^^|Sv^' : 
v ■.;duktsoftwWbeteiUgfe , Teilnehmer"die Produktsoftware' unci die bislier gclcisictcn WiicrschriiYcnir.iui s'ei ncm* geKc ; i mem^^^S? ; . 
. •: -v. Schliissel unterschreibt und gemeinsam mit seiriern eigenen Schlusselzeriilikat w'eiterlciiei; dic-'/^^ 

• jeden Anwendungsfall eine Priifcrliste erzeugi und signiert und die Produktsot*iware : zusaiiutien liiil.eine v 
45 ' terse hriftenliste und der. Lis te. der Schiusselzertifikate der Teilnehmer s<)wie. der. Priifcrliste in den. Zielrechner e'fnge^;>-:K*i';%v|'.^ 
V bracht und endgepriift wird. ;> .. ■ • ' •* : -' •■'<•...[ ,v .:.-r ' <■ V '*■; • A 

. : Ein jgiterer Vorteil. der Erfindung besteht darin, daB die Produktsoftware auch Uber ungesicherte Korm^u^^ " , C 

n ale UDertragen werden kann . . . : . ''•* '.' / .1" , ; . " : ;^"-V: \ - ' * • 

GemaB der yorliegenden Erfindung werden asymmetrische Verschlusselungs verfahren verwendet. Jeder Teilnehmer x 
50 verfugt uber zwei Schliissel,. namiich einen offentlichen Schlussel P x und einen geheimen Schliissel S x . Der geheime 
SchlUssel ist durch geeignete organisatorische MaBnahmen (zum Beispiel Passwort, Speicherung auf Chipkarte etc.) vor 
MiBbrauch gesichert. . 

Offentliche Schlussel sind in der Regel jedem Teilnehmer zugangiich r auf einen geheimen Schliissel darf nur ein Teil- 
. hehmer Zugriff haben. Mit seinem- geheimen Schlussel kann der Teilnehmer Datensatze digital unterschreiben (Opera- 
55 tion Sigx) oder mit seinem offentlichen SchlUssel verschlusselte Datensatze eritschliisseln (Operadon Decx). Jeder Teil- 
nehmer, der im Besitz des zugehorigen offentlichen Schliissek ist, kann von x signierte, fiir ihn besdmmte Datensatze ve- 
rifizieren (Operadon Verx) oder x verschlusselte Nachrichten sendeh (Operation Encx)l Das genaue asymmetrische Ver- \' 
f ahren ist dabei egal, im Prinzip kann jedes aus dem Stand der Techhik bekannte Verfahren verwendet werden, " 

Die Erfindung soli nachstehend anhand von zumindest teilweise in den Figuren dargestellten Ausfiihrungsbeispielen 
60 naher erlautert. werden. 

Es zeigen: \- - * . : , 

Fig. 1 eine schemadsche Darstellung des Zusammenwirkens von Teilnehmem mit einer Zulassungsbehorde; ■» . 
. Fig. 2 einen Programmablaufplan fiir die Priifung der Produktsoftware . 
Wis in Fig. 1 dargestellt, wird unter den Teilnehmem eiri besonders vertrauenswiirdiger Teilnehmer Z, die sogenannte 
65 Zertifizierungsinstanz, besdmmt. Als Zertifizierungsinstanz wird im vorliegenden Ausfiihrungsbeispiel eine Zulassungs- 

• behorde eingesetzt, in Deutschland fUr die Eisenbahn-Signaliechnik /. B. das Eisenhahnbuhdcsaml, cxicr eine anderc t - 
vertrauenswiirdige Instanz. Dieser Teilnehmer zertifiziert, d. h. heglauhigl. daB' die Schliissel der einzelnen Teilnehmer 
wirklich zu den behaupteten Teilnehmem gehoren. Dazu unterschreibt Z digital fiir jeden Teilnehmer x dessen drfenili- ^ 
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chen SchlUssel P x sowie ein Textfeld T x , das Ahgaben zur Identitat des Teilnehmers^ zur GUltigkeitsdauer des Zertifikats 
etc. enthalt. Das Zertifikat besteht also fur jeden Teilnehmer aus P x , T x sowie Sigz (Px, T x ); Die Zertifizierungsinstanz 
Ubergibt zusatzlich jedem Teilnehmer ihr eigenes Zertifikat, das aus P z , T 2 sowie Sigz (Pz, Tz) besteht. 

Im weiteren wird nun ein konkreter Anwendungsfall betrachtet Die Zulassungsbehorde Z erzeugt fur jeden Anwen- 
dungsfall eine Priiferliste L, in der verrrierkt isty welche Priifer- welche Produktsoftware und in welcher Prufer-Zusam- 
mensetzung priifen dUrfen. Diese Liste wird ebenfalls von der Zulassungsbehdrde signiert und zusamrnen.mit dem Zer- 
tifikat Sigz(L) auf gesichertem Weg in den Zielrechner der Anlage eingebracht, also entweder zusammen mil der Pro- 
duktsoftware oder als Projektierungsdatum. Zusatzlich sollte die Priiferliste auch an die beteiligten Priifer verteilt wer- 
den. Alternate v kann sie auch zusammen mit der Produkt-Software Ubertragen werden. } 

Jeder an der Ersteliung und Priifung der Produktsoftware beteiligte Teilnehmer unterschreibt die Produktsoftware S 
und die bisher geleisteten Unterschriften seiner Vorganger in der Prufhierarchie, d. h. der ErsteUer E unterschreibt die 
Produktsoftware S mit SigE(S), und sendet sie mit der Uriterschrift und seine m. Senilis selzertifikat Pe, T e sowie Sigz(PE, 
T E ) an den Priifer P. der die He tune it der Unterschrift pruft und nach positivem Priifergebnis die Produktsoftware Sund 
die Ictzte Untcrschrifi Sigi-(S) mit Sigp (S" Sig H (S)) unterschreibt und mil seinem SchlUsselzertifikat P p T P sowie Sigz 
(P* T P ) sowie dem Schlusselzertilikai von K weiterleitei. Die Echtheil der Unterschriften wird durch jeden Priifer nach- 
.deru in Fig. 2 jngegcheneri Schema ^cprul'l. • ' 

Dieses Prin/ip kkmisich noch einige Male wiederholcn wie iti Fig." 2 dargestellt, je nachdem wievieie Teilnehmer, 
d. h. (Jutachtcr. Icster etc. bciciligt sind! Am Hnde liegt-die Produktsoftware S zusammen mit einer verketteten Unter- 
sehrilienliste und dec Lisle tier Schlusselzertihkate der Teilnehmer vor. Dies wird zusammen mit der Priiferliste in den 
Zielrechner ubertragen: 

Beispiel . . ' , * 

." v ■. ; . PrufplanL = (A,B, C,D,..:K) • ' .'* -V 



Produkt-SW S , Sig A (S) 



Sig Q (S, Sig A (S)) 



Sig K (S, Sigj(S, SigrfS,;..))) 



- In jedem sicheren Rechner der Anlage (Zielrechner) muB neben einer Implementation der kryptographischen Funktio- 
nen der affentliche SchlUssel der ZulassungsbehOrde verfugbar sein. Bei Empfang eines rieuen Softwarestandes priift der 
sichere Rechner die digitalen Unterschriften der Priifer, die zu diesem Softwarestand gehoren, sowie bei erfolgreicher 
Priifung die Berechtigung der Priifer anhand der Priiferliste- - v . • . ... '1 . 

Falls die Produktsoftware Uber ungesicherte Kommunikationskanaie Ubertragen werden soli oder verhihdert werden 
soil, daB.unbefugte Dritte Kenntnis der Produktsoftware eriangen, so.muB die Produktsoftware zusatzlich verschUisselt 
werden, und zwar jeweils iriit dem dffentlicheh SchlUssel des Konimunikationspartners. : . 



Beispiel ' 



Sendet E an R.so.wird statt der Produktsoftware S die. verse hi usselte Fassung Encp(S) gesendet: P entschlussek diese, 
mil seinem privation SchlUssel und verschlussell sie mil dem offentlichen Schlussel des nachsten Koirununikationspart- 
ners. In diesent l ull ist e*s auch. noi wendig. j ede m Zielrechner ein Schlusselpaar zuzuweisen, da im letzten.Schritt mit 
dem offen I lichen "ScitlCWscI des Zielrcehners /.u verschlussCln isi. . ' "\ 

Weiterhin si'rul or^anisaiorischc Matinahrnen notweridig. um sicherzustelleri, daB die geheimen SchlUssel der Priifer 
bzw. Zertifizierungsinstan/ nichi unberechrigt eingesetzt werden konnen ( entweder mit PaB wort verschlusselte Speiche- 
rung auf PC oder Chipkarte) und daB Software nicht auf anderem' Wege, d. h. unter Umgehung der skizzierten Sicher-' 
heitsmaBnahmen auf de'ri Zielrechner gebrachi werden kann (Firewall-Funktionalitat). / . . . : ; 

Patentanspruche 

1. Verfahren zum Online-Update sicherheitskridscher Software in der Eisenbahn-Signaltechnik unter Mitwirkung 
. mehrerer Teilnehmer und unter Nutzung kryptographischer Methoden und in digitalisierter Form vorliegender ver- 

schlUsselter Datensatze, wobei 

- jeder Teilnehmer einen dffentlichen. und einen geheimen SchlUssel erhalt, 

- von den Teilnehmem eine Zertifizierungsinstanz zur Begiaubigung der Zugehorigkeit der SchlUssel zu den 
TeiLniehmem mit einem Zertifikat bestimint wird, . 1 

- jeder Teilnehmer sein eigenes SchlUsselzertifikat und das Zertifikat der Zertifizierungsinstanz erhalt, 

- jeder an der Ersteliung und Priifung der Produktsoftware beteiligte Teilnehmer die Produktsoftware und die 
bisherigen Unterschriften mit seinem. geheimen SchlUssel unterschreibt und gemeinsam. mit seinem eigenen 
SchlUsselzertifikat weiterleitet, 

- die Zertifizierungsinstanz fur jeden Anwendungsfall eine Priiferliste erzeugt und signiert und 

- die Produktsoftware zusammen mit einer verketteten Unterschriftenliste und der Liste der SchlUsselzertifi- 
kate der Teilnehmer sowie der PrilferUste in den Zielrechner eingebracht und endgeprUft wird. 

2. Verfahren hach Anspruch 1 , dadurch gekennzeichnet, daB die geheimen SchlUssel der Teilnehmer zum digitalen 
Un terse hreiben von Datehsatzen und bei Obertragung der Produktsoftware Uber ungesicherte Kommunikationska- 
naie zum Entsch I Ossein verwendet werden. 

3. Verfahren nach Anspruch. L dadurch gekennzeichnet daB die offeni lichen SchlUssel der Teilnehmer zum Ent- 
schliisseln verschlusselier Daiensatze oder zum Verifizieren signierter Datensatze und bei Obertragung der Produkt- 
software uher ungesicherte Kommunikationskanaie zum VerschlUsseln mit dem offentlichen SchlUssel des nachsten 
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Kommunikationspartners verwendet werden. 

4. Verfahren nach Anspruch I, dadurch gekennzeichnet, daB die Zeriifixierungsinsianz /.ur HrsieUung der Zertifi- 
kate fur jeden Teiinehmer dessen offentlichen Schlussel sbwiecin <Texitelri mil A ng a ben /.ur- fdentiiai und Gultig- 
keilsdauer des Zertifikates unierschreibl. 

5. Verfahren nach Anspruch 1. dadurch gekenn/.eichnet. daB in (ier Priiterlisie vcniierkl tsl. weJcher Teiinehmer 
welche Produktsoftware und in welcher Zusammensetzung mil anderen Teilnehmem pruTen darf. 

6. Verfahren nadvAnspruch 1, dadurch gekennzeichnei, daB im Zielrechner neben etner Implementation der kryp- 
tographischen Funktionen der offen die he Sen Kissel der Zertifizierungsinstanz vertugbar ist. 

7. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daB der Zielrechner bei der Endpriirung die digitalen Un- 
terschnften der Teiinehmer sowie die Berechtigung der Teiinehmer anhand der Pruferliste pnift. 

8. Verfahren nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, da£ bei Ubertragung der Produktsoftware 
uber ungesicherte Kornmunikationswege jedem Zielrechner ein Schiusselpaar zugewiesen wird. 
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Schritt 0: Z autorisiert die 
Teilnehmer 



3) Zulassungsbeh6rde Z 
autorisiert Schiussel und 
Zertifikat durch 
Unterschrift 



-2) sendet P, an Z- 



-4) sendet P t , T B . Sig^P,. T,) an x- 



1) Jeder Teilnehmer x 
erzeugt Schiussel: P,,S X 



Schritt 1: Zverteilt die 
authorisierte Pruferliste 



Zulassungsbehdrde 
Schiussel: P 2 .S Z 





t. Sig^jL) 



U SlgZ(L) 



C SlgZ(L) 



Zielrechner 
Schiussel: P, 



Prufer P 
Schiussel: P P ,S P ,P Z 



Schritt 2: Jeder Prufer 
fuhrt folgende Schritte aus 



1) Erhatt SW. Unterschriften und_ 
-Zertillkate der Vof ganger . " 



Prufer n 



- SWS 
*Sig s (S) :..Sig n (S,..) "\ 
^vT^Sig^T,) 



2) Pruft Unterschriften , 
(und ggf. Zulassung der 
Prufer) 

3) Pruft SW . ' 

4) Unterschreibt nach 
erfolgreicher Prufung : 
und fugt Unterschrift und 
Zertifikat an 



^5) Sendet SW, Unterschritten und 
1 Zertifikata an Nachiolger . ". ; H 



SW s 
Sig,(S) ...Sig n (S,...), 
S«g n+1 (Sig n (S,...)) 
- P 1 .T f .Sig z (P l .T 1 ) 



P„.T n ,Sig 2 (P n , T n ) 



Schritt 3: Prufung im 
Zielrechner 



1) Ertialt SW, Untarschrtften und 

Zertifikate alter Prufer 



P n .T n , Sjg z (P n , T n ) 

T n+V Sr 9z( P n*1» T n^l) 



n+V *n*V 



Zielrechner 

2) Pruft Unterschriften 
und Zulassung der 
• Prufer 



f/6 1 
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ZEtCHNUNGEN SEITE 2 



Urt»f»chnft <Jof 
ProduVl-SW 




der P*uferH*»» nut <ler 
Urttvracftflf enlist* 




Figur 2 



. Nummer: - DE 19851 709 A1 "• - -;••*» t 

Int. CI. 7 : . H04L9/30 . 

- Offenlegungstag: - 4. Mai -2000 w - 




002 018/598 .;. 




